De tilfælde af skadelig software rettet mod Mac-computere er stigende. Sikkerhed forskere netop rapporteret, at en ondsindet Windows .exe-fil er nu i stand til at inficere Mac-computere, og downloade infostealer malware ledsaget af adware på deres systemer. Opdagelsen kommer fra Trend Micro.
Som standard, forsøger at køre en exe-fil på en Mac eller Linux OS vil kun vise en fejlmeddelelse, sikkerhedseksperter understreget. Men, vi fandt EXE-filer i naturen leverer en ondsindet nyttelast, der tilsidesætter Mac indbyggede i beskyttelse mekanismer som Gatekeeper.
MacOS Gatekeeper unddragne i Tricky Attack
Disse exe-filer unddrage Gatekeeper beskyttelse, fordi de ikke er kontrolleret af softwaren, designet til at kontrollere kun indfødte Mac-filer. Dette fører til omgåelse af koden signatur kontrol og verifikation. Forskerne var i stand til at bestemme, at de højeste tal for infektioner er i UK, Australien, Armenien, Luxembourg, Sydafrika, og USA.
Forskerne opnåede en prøve af en populær firewall app til Mac og Windows kaldet Lille Snitch. Den app var tilgængelig for download på diverse torrent sites. "Når den downloadede .ZIP filen er pakket, den indeholder en DMG fil hosting installationsprogrammet Little Snitch", rapporten forklarer.
Mens inspicere indholdet af installatøren, forskerne opdagede den usædvanlige tilstedeværelse af .exe-filen, der var bundtet inde. Den exe-fil viste sig at være en Windows eksekverbare bærer ondsindet nyttelast.
Hvad sker der efter udførelse af filen?
Når installationsprogrammet udføres, den vigtigste fil også lanceret den eksekverbare, da det er aktiveret af mono rammer indgår i pakken. Denne ramme giver mulighed for udførelse af Microsoft .NET-applikationer på tværs af platforme som OSX.
Den malware kan indsamle oplysninger om systemet såsom modelnavn, model-id, processor hastighed, processor detaljer, hukommelse, etc.
Den malware er også designet til at scanne efter alle de grundlæggende og installerede apps om kompromitteret maskine, at sende alle de indsamlede oplysninger til en kommando og kontrol-server.
Det er værd at bemærke, at der kører exe-filer på ikke-Windows-systemer kan have en større effekt. Hvorfor det?
Normalt, en mono rammer installeret i systemet er forpligtet til at kompilere eller indlæse eksekverbare og biblioteker. I dette tilfælde, dog, bundling af filerne med den nævnte ramme bliver en løsning til at omgå systemerne givne EXE er ikke en anerkendt binær eksekverbar af MacOS’sikkerhedsfunktioner. Med hensyn til de indfødte bibliotek forskelle mellem Windows og MacOS, mono rammer understøtter DLL kortlægning at understøtte Windows-only afhængigheder til deres MacOS modparter, forskerne sagde i deres rapport.
Forskerne mener også, at denne unddragelse teknik kan implementeres i andre angreb mod MacOS. Det lader til, at cyberkriminelle stadig er ved at analysere de muligheder fra denne malware bundtet i applikationer tilgængelige for download på torrent sites. MacOS-brugere bør være ekstra forsigtig.